Sonría

En un escenario mundial en el que se pueden establecer pocas certezas acerca del grado de seguridad informática, en los últimos años Uruguay ha definido como prioridad que la ciberseguridad sea un tema central para el desarrollo de los intereses de cualquier país. Tomando en cuenta que Uruguay está en la agenda de todo el mundo por leyes novedosas, como la de regulación del mercado de la marihuana, y las apariciones de un presidente ex guerrillero y con un modo de vida llamativo para los distintos medios internacionales, no puede negarse que otros países estén accediendo a datos por vías no tradicionales. Varias de las fuentes consultadas coinciden en que si bien se están tomando decisiones que permiten una mayor reducción de riesgos en estos temas, en líneas generales Uruguay todavía está lejos de encontrarse en una situación ideal.

En 2013 tomó estado público lo que muchos ya sabían: Estados Unidos tiene un programa de espionaje cibernético que alcanza a varios países del mundo (ver nota "Bajo vigilancia"). A partir de la publicación de esta información los debates al respecto se aceleraron (ver entrevista a Divina Frau-Meigs) y a nivel internacional todo desembocó en una resolución de la Asamblea General de las Naciones Unidas -impulsada por Brasil y Alemania- que defiende el derecho a la privacidad y cuestiona los programas de espionaje entre países.

Consultado acerca de cómo esta coyuntura repercute en Uruguay, el subsecretario de Defensa, Jorge Menéndez, dijo a la diaria que la perspectiva de ese organismo no ha cambiado desde que esta información se hizo pública, porque ya la conocía. “Sabemos que hay países e instituciones públicas y privadas que tienen interés en obtener información e incidir en determinado tipo de proceso de desarrollo. Nosotros estamos ubicados en una parte del mundo de muchas riquezas, fundamentalmente de carácter natural, y desde Defensa tenemos la obligación de pensar prospectivamente en ello, ya no con un criterio tradicional sino haciendo inteligencia estratégica y dotando al ministerio de los recursos tecnológicos, organizativos y estructurales para poder tener respuesta ante estas cosas”, explicó.

Menéndez define la “inteligencia estratégica” como el establecimiento de una estructura que pueda dar respuesta para que la soberanía, la independencia y la defensa de los recursos estratégicos en un marco de bienestar social puedan permanecer estables y en desarrollo. Según el subsecretario se evalúan procesos económicos, industriales y de relacionamiento regional, como las vías de comunicación terrestres y navales. “Estos procesos no se hacen para perseguir personas o grupos, como pudo haberse realizado antes, sino para ver cómo Uruguay se desarrolla e interacciona en un mundo muy interdependiente”, agregó. Según explicó, la ciberseguridad cobra especial importancia por el creciente desarrollo en el área tecnológica, que también genera vulnerabilidad; en la guerra y en el terrorismo, pero también en la estabilidad económica de un país.

Don’t go home

El gobierno de Estados Unidos tiene acuerdos de cooperación en la materia con Uruguay que por ejemplo han llevado a que especialistas del Departamento de Defensa de ese país capacitaran a funcionarios y técnicos uruguayos. Acerca de cómo este vínculo bilateral puede afectar la imagen uruguaya, Menéndez sostuvo que además de esos acuerdos -que Uruguay quiere cambiar “porque son de otro tiempo”- ambos países comparten instancias en foros internacionales como la Organización de Estados Americanos (OEA); esto no va en desmedro de los acuerdos que Uruguay pueda establecer con los países más cercanos de la región, objetivo primario y central, según definió.

Por su parte, Santiago Paz, de la Agencia de Gobierno Electrónico y Sociedad de la Información y la Comunicación (Agesic), explicó que en estos grupos se maneja una red de confianza, en el caso de la OEA la red hemisférica de Centros de Respuesta a Incidentes de Seguridad Informática (Cert), con la que se alcanzan acuerdos de facto. “Nosotros cooperamos, pero cuando se van a hacer acuerdos específicos aparecen alianzas específicas, donde determinado país nos pide apoyo o nosotros lo pedimos. Lo bueno que tienen estos espacios es que no son esas redes burocráticas donde nos juntamos y tenemos que firmar 500 acuerdos para conseguir la cooperación de otros. Estas reuniones generan distintas posturas, recomendaciones y planes de acción”, indicó. Otra de las comunidades internacionales de las que es parte Uruguay es el Instituto Internacional de Telecomunicaciones (ITU, por su nombre en inglés), por medio de un grupo que trabaja en estos temas llamado Impact Aliance.

Fuertemente ondulado

Paz señaló que en materia de ciberseguridad Uruguay tiene un panorama “muy diverso”. Según dijo, en el sector financiero está “relativamente bien” -el nivel de exposición no es muy alto-, mientras que dentro del Estado hay organismos que están bien y otros no tanto. Sin embargo, explicó que esos últimos, en conjunto con la Agesic, están trabajando para reducir el riesgo al que están expuestos de forma integral.

De todos

En diálogo con la diaria, el docente del Observatic de la Facultad de Ciencias Sociales Mauricio Olivera reflexionó acerca del rol de la ciudadanía en este tipo de debates. Según dijo, la digitalización ha marcado un cambio muy importante, y la gente no tiene ni idea de lo que se discute. “La gente tiene que participar, pero tiene que hacerlo con información, no puede tener la respuesta si no sabe cuál es la pregunta”, cuestionó. Además, también habló de la existencia de un problema político cuando se dice que la privacidad de datos puede ser algo que no sea muy democrático pero es una cosa tolerable. “Ahí hay un punto clave que más allá de la privacidad de datos tiene que ver con qué tipo de transparencia y democracia queremos”, concluyó. Para el académico, ésa es la discusión fundamental.

Manuel Podetti, integrante de la Coalición por una Comunicación Democrática, reconoció que estos temas son un gran debe para la sociedad civil, y que si bien hay usuarios organizados que se manifiestan sobre la privacidad digital, no se llega a ver de forma colectiva, para legislar o promover buenas prácticas. Además indicó que muchas veces las TIC son menospreciadas y se piensa que sólo sirven para jugar. “Falta mucha formación y no sólo técnica. Falta masa crítica para ver qué se puede y qué no, y qué queremos”, reclamó.

Paz señaló que la Agesic maneja cinco pilares para hablar de ciberseguridad. Por un lado están la infraestructura y la tecnología, pero también lo institucional. Un ejemplo de estos pilares es la obligación de que las instituciones públicas cuenten con responsables de ciberseguridad y y con organismos, personas y grupos de trabajo que se dediquen a eso a nivel del gobierno en general.

Desde hace un tiempo, Uruguay cuenta con su propio Cert y algunos departamentos dentro de ministerios o empresas públicas que tienen como cometido la seguridad del organismo. “Si eso no pasa se hace un esfuerzo, se agrega mucha tecnología y después no tiene sustentabilidad”, remató. Además explicó que ocurre lo mismo con el marco legal: es importante que todo esto tenga sustento jurídico, que se le dé sustentabilidad y que no desaparezca. Otro de los pilares -que para Agesic siempre fue la clave- es el desarrollo de capacidades, mediante la capacitación de funcionarios en talleres o encuentros, tanto locales como regionales. Según explicó Paz, ya llevan más de 1.000 instancias de capacitación, que desde hace poco comenzaron a extenderse desde Montevideo al resto del país.

En este sentido, la cooperación internacional es un pilar fundamental, y no es posible trabajar aislado en estos temas, porque siempre hay más de un país involucrado, indicó. “Y no sólo hablamos de incidentes que estén asociados a un gobierno u otro. Muchas veces el ataque es originado en una empresa de Uruguay destinado a un banco en Paraguay o viceversa. Si bien es el sector privado, a través de los gobiernos usamos nexos y buscamos la cooperación que sea necesaria”, ilustró.

Acerca del apoyo solicitado a los organismos internacionales y otros gobiernos antes mencionados, Paz nombró alguna de las instancias concretas. Para el Ministerio de Defensa y la División de Delitos Informáticos de la Policía se realizaron entrenamientos con especialistas del Servicio Secreto de Estados Unidos que abordaron cómo hacer análisis de computadoras sospechosas con sistema operativo Windows. Además se realizaron simulacros con el ITU y la OEA en los que se genera un escenario de un ataque que involucra a varios países y la respuesta ante eso.

Otra mirada

Por su parte, el docente de la Facultad de Ingeniería (Fing) especialista en estos temas Gustavo Betarte consideró que la iniciativa que tomó el gobierno de impulsar herramientas y organizaciones que propendan al desarrollo de acciones para el aseguramiento de las infraestructuras públicas y del ciudadano es un avance. Pese a que considera que “vamos bien”, entiende que el salto que se da en lo jurídico e institucional del gobierno central tiene que ser acompañado en el ámbito público como en el privado. “A vos te pueden atacar la infraestructura de un ente público enmascarándose en la infraestructura privada. La empresa privada está desprotegida, le entran y no podés rastrearlo”, indicó. Además, Betarte es autocrítico con la formación al respecto en el país. Opinó que “falta muchísimo, y, como quien dice, estamos empezando”. Por ejemplo, en la Fing recién se instauró un curso de fundamentos sobre seguridad informática en 2007.

Debates en red

Con tantos intereses en juego, y por tratarse de temas complejos y multicausales, muchas veces pasa que distintos debates sobre internet se tocan. Uno de ellos es el del software libre, sobre el que Da Rosa opinó que incide en la ciberseguridad, por tratarse de un tipo de programas que se basan en la calidad y no en el ocultamiento de sus códigos. Sobre este punto, señaló que la propia Agencia de Seguridad de Estados Unidos utiliza Linux, porque es más seguro. Sin embargo, también existen otras visiones, como la de Paz, para quien no puede afirmarse que el software abierto tenga mejor seguridad que el privativo. “Más allá de que puedo acceder a los códigos y puedo verificarlos, es técnicamente imposible estar verificando esa enormidad de código en un sistema operativo o en un tipo de software e intentar auditarlo permanentemente y chequear que realmente lo que estoy viendo es lo que estoy ejecutando”, opinó.

Otro de los debates que se tocan es el de la neutralidad de la red, aunque no de forma tan directa. Para De Cola, cuando se habla de neutralidad se discute un tema económico, en medio de modelos de negocios que están cambiando. Se trata de definir que los prestadores de servicios de internet tengan o no políticas diferenciales con el acceso de los usuarios a distintos sitios. “No es un problema que Uruguay tenga hoy; en este momento ninguno de los operadores de red que tenemos y que dan servicios de acceso a internet está haciendo un uso indebido de las técnicas de administración o de gerenciamiento de red. Posiblemente en una ley de telecomunicaciones general pueda tener cabida una definición en cuanto a la neutralidad, sobre la que hay que ser muy cuidadosos, porque lo que debe buscar una disposición al respecto es evitar que los operadores de red jueguen a favor de determinados prestadores de servicios, pero no debe impedir las técnicas de ingeniería de tráfico que hacen funcionar de mejor forma a las redes”, dijo el director de la Dinatel.

Sobre este tema, comparó que hay países que están adelantados 20 o 25 años en el desarrollo de soluciones al respecto y de todas formas siguen sin estar a salvo. En esta línea, describió que las redes de atacantes cuentan con buenos medios y capacidades y con mayor tiempo para desarrollar sus planes. Si bien hay modelos de madurez que permiten definir una estrategia de desarrollo incremental, Betarte consideró que la implantación de esos modelos nunca termina. Sin embargo, y pese a la complejidad del asunto y la diversidad de situaciones que requieren un estudio pormenorizado, el académico entendió que se puede dar saltos cualitativos importantes en no mucho tiempo.

Lo político y lo jurídico

En diálogo con la diaria, Sergio de Cola, que está al frente de la Dirección Nacional de Telecomunicaciones (Dinatel) se refirió al proyecto de Ley de Telecomunicaciones que se encuentra en proceso de elaboración. Según explicó, y si bien el gobierno había previsto enviarlo al Parlamento unos meses antes, el tratamiento de temas como la Ley de Servicios de Comunicación Audiovisual y los llamados de Televisión Digital Terrestre, hicieron que su abordaje se demorara a la interna del gobierno. Consultado acerca de los alcances de una eventual ley en temas de ciberseguridad, adelantó que el proyecto tocará el tema y por ejemplo se referirá a la regulación del uso de sistemas de cifrado, o sistemas que permitan proteger al usuario del correo basura u otro tipo de situaciones, en los que los proveedores den facilidades para tener una correcta protección.

Sin embargo, De Cola se mostró reacio a dar plazos para finalizar la redacción, y se remitió a informar que será trabajado durante 2014. Además, señaló que en la región, la Unión de Naciones Suramericanas (Unasur) está dando distintas discusiones en el marco del diálogo sobre banda ancha organizado por la Conferencia Económica para América Latina y el Caribe (Cepal).

Uno de los temas discutidos, impulsado principalmente por Brasil, es la posibilidad de que América del Sur cuente con una conectividad propia y conforme una red que conecte de mejor manera a los países entre sí. “Muchas veces pasa que para comunicar información entre dos países de Latinoamérica se debe pasar por los nodos en Miami o en lugares fuera de la región. Una de las ideas es tener una conectividad más regional y menos dependiente de nodos fuera de la región. Eso a su vez habilita la posibilidad de que se instalen las redes de entrega de contenidos, que son grandes instalaciones de servidores donde se almacena información que muchas veces es copia de información que a su vez está en otros lugares del mundo. Pero al estar más cerca del usuario que la requiere, la experiencia de acceso es mucho mejor”, explicó.

Añadió que lo ideal sería contar con servidores propios en Uruguay, pero si están en Brasil se mejora muchísimo, porque se acorta la distancia física y por lo tanto la velocidad. Este proyecto abarca también elementos que tienen que ver con la seguridad, porque si la información está en servidores instalados en los países, son alcanzados por las leyes que aplican a éstos.

Sin embargo, el docente del Área Multimedia y tecnologías de la información y comunicación (TIC) de la Facultad de Información y Comunicación (FIC) de la Udelar Fernando da Rosa consideró que este proyecto amerita una mayor discusión, ya que sería más probable que Brasil estuviera interesado en espiar a Uruguay de lo que hoy está Estados Unidos, lugar donde se encuentran los servidores centrales de las grandes compañías. Consultado al respecto, De Cola sostuvo que depende de cómo la información sea almacenada. “Si la almacenás encriptada y con buenos niveles de seguridad, va a ser más difícil que la puedan espiar. Si pensamos en las revelaciones de [Edward] Snowden, dice que el espionaje ocurrió no sólo en Estados Unidos, sino en todo el mundo. Hubo actividades locales de intersección de las comunicaciones en cada uno de los países, por lo que el problema no se resuelve diciendo que no pongo información mía en un servidor fuera de mi país”.

Como un cristal

Por su parte, Menéndez, consultado acerca de la posibilidad de que Uruguay esté siendo espiado en este momento, consideró que “las certezas en esta área no existen”. Además, explicó que el gobierno trabaja para mitigar, en la medida de lo posible, las vulnerabilidades. “No hay certezas, y más cuando hay organizaciones transnacionales tan poderosas y con tanta capacidad técnica, a veces Estados, que se trazan objetivos que catalogamos como lamentables para una correcta relación. La confianza en estas áreas es muy importante, requiere mucho tiempo generarla y se puede perder en un momento, y esto a veces es como un cristal, que se puede reparar pero sigue roto”, concluyó.

Se puede acceder a la edición completa de la anuaria, con todos los contenidos del informe sobre espionaje, en el siguiente enlace: http://ladiaria.com.uy/media/especial/ladiaria_20131227.pdf .